Modos de gerenciamento de contas do Windows LAPS

Saiba mais sobre os diferentes modos de gerenciamento de contas aceitos pela Solução de Senha de Administrador Local do Windows (Windows LAPS).

Overview

O objetivo principal do Windows LAPS é girar regularmente a senha de uma conta local do Windows. Essa conta pode ser a conta de administrador interna ou uma nova conta personalizada. O administrador de TI tem dois modos diferentes à escolha para configurar e gerenciar a conta de destino: manual e automático. Os dois modos têm seus prós e contras.

Há dois modos diferentes disponíveis para gerenciar a conta de destino.

O modo de gerenciamento de contas manual é o modo padrão. No modo manual, o administrador de TI é responsável pela configuração de todos os aspectos da conta gerenciada, exceto a senha, que o Windows LAPS gerencia e controla.

O modo de gerenciamento de contas automático é um modo opcional. No modo automático, o Windows LAPS é responsável pela configuração de todos os aspectos da conta gerenciada, incluindo criação e exclusão de conta básicas, conforme necessário, além da senha da conta.

Modo de gerenciamento de contas manual

O modo manual é o modo padrão. O administrador de TI tem a opção de escolher a conta de administrador interna ou uma nova conta personalizada. Essa opção é configurada por meio da configuração de política AdministratorAccountName. Se a configuração AdministratorAccountName estiver vazia, a conta de administrador interna será gerenciada, caso contrário, AdministratorAccountName especificará o nome de uma conta local personalizada.

Quando uma conta local personalizada é especificada, o administrador de TI é responsável por criar essa conta antes de habilitar o Windows LAPS – o Windows LAPS não cria a conta nesse modo. Há muitas maneiras de criar uma conta local:

• Configurar o CSP de contas
• Implantar scripts de gerenciamento orientados por políticas customizados
• Adicionar a conta de destino a uma imagem base do sistema operacional.

Esses mecanismos adicionam complexidade extra que pode ser evitada usando o modo de gerenciamento automático de contas.

Nesse modo, a senha da conta de destino é protegida contra adulteração acidental ou descuidada. Todas as demais alterações de configuração de conta são permitidas.

Modo de gerenciamento de contas automático

O modo automático é um modo desativado por padrão. Uma vez habilitado, o administrador de TI pode escolher entre os seguintes detalhes de configuração:

• Se a conta de administrador interna ou uma nova conta personalizada será usada
• O nome da conta
• Se a conta deve ser habilitada ou desabilitada
• Se o nome da conta deve ser gerado de forma aleatória

Detalhes de configuração automática da conta

Quando o modo automático está habilitado, a conta gerenciada é configurada da seguinte forma:

• Por padrão, a conta torna-se um membro do grupo local de administradores.
• A configuração password-not-required está desabilitada
• O sinalizador password-never-expires está desabilitado
• A descrição da conta é modificada para indicar que o Windows LAPS está controlando a conta

Melhorias e considerações de segurança do gerenciamento automático de contas

Como qualquer conta de usuário, as contas locais do Windows representam um possível vetor de vulnerabilidade para invasores. Essa ameaça também está presente para contas gerenciadas pelo Windows LAPS, embora seja mitigada em grande parte pelas senhas altamente complexas geradas (e alternadas regularmente) pelo Windows LAPS. O gerenciamento automático de contas oferece duas melhorias que podem reduzir ainda mais as ameaças quando se busca mais garantia para ambientes de alta ameaça.

• Primeiro, manter a conta gerenciada em um estado desabilitado elimina completamente qualquer chance de que a conta possa ser alvo de um ataque de pulverização de senha ou semelhante. No entanto, a manutenção da conta gerenciada em um estado desabilitado gera atrito: é necessária que a conta gerenciada seja habilitada (por meio de manipulação de política de GPO ou MDM) para que a conta possa ser usada.

• Em segundo lugar, manter um nome de conta gerenciado exclusivo por dispositivo (por meio da randomização do nome da conta) dificulta o trabalho de um invasor. Em vez de saber com antecedência qual conta atacar em todos os dispositivos, o invasor precisa achar uma forma de descobrir o nome da conta em um determinado dispositivo de destino. Também existe mais atrito aqui, pois a equipe de TI precisa ser treinada para não depender de saber um nome de conta gerenciado comum em toda a organização.

Os administradores de TI que implantam o Windows LAPS em um ambiente onde a segurança é fundamental precisam considerar esses recursos. Se o atrito introduzido pela adoção desses recursos é aceitável ou não depende da frequência com que as contas gerenciadas pelo Windows LAPS precisam ser usadas, além dos requisitos de segurança de um determinado ambiente de TI.

Integração com políticas de gerenciamento de contas locais

O Windows oferece suporte a várias políticas para gerenciar a associação de grupos locais do Windows:

• CSP da política RestrictedGroups
• CSP da Política LocalUsersAndGroups
• Usuários e Grupos Locais (Política de Grupo)
• Grupos Restritos (Política de Grupo)

Cada uma das políticas acima oferece suporte a um modo de configuração que pode ser usado para forçar a remoção de todos os membros de um grupo local especificado. As políticas acima agora ignoram qualquer tentativa de remover a conta gerenciada automaticamente pelo Windows LAPS do grupo local de administradores.

Proteção contra adulterações de conta

A proteção contra adulterações de conta é expandida no modo automático. O Windows LAPS controla todos os aspectos de configuração de uma conta gerenciada automaticamente. Tentativas externas de modificar a conta gerenciada são bloqueadas. Os administradores de TI não devem criar políticas ou scripts que tentem modificar a conta gerenciada.

O Windows LAPS rejeita tentativas inesperadas de modificar a conta com um erro STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Cada rejeição tem um evento associado no canal de log de eventos do Windows LAPS. Os eventos 10101-10104 são registrados e correspondem ao tipo de modificação solicitada (modificação básica, modificação do descritor de segurança, exclusão ou remoção do grupo local de administradores).

Escolha de um modo

O modo manual é a melhor opção para situações que exigem configuração exclusiva e/ou detalhada da conta de destino.

O modo automático é a melhor escolha para situações com requisitos menos detalhados, por exemplo, quando você só precisa que a conta gerenciada esteja disponível e pronta para uso em uma configuração básica com privilégios administrativos. O modo automático também oferece suporte à criação de uma nova conta personalizada.

Gerenciamento de contas do Modo de Reparo dos Serviços de Diretório

O Windows LAPS oferece suporte ao gerenciamento da senha da conta do Modo de Reparo dos Serviços de Diretório (DSRM) em controladores de domínio. Os modos de gerenciamento de conta manual e automático descritos neste artigo não se aplicam à conta DSRM.

Consulte também

• Principais conceitos no Windows LAP
• Senhas e frases secretas do Windows LAPS

Próximas etapas

Agora que você entende os diferentes modos de gerenciamento de contas, dê uma olhada nestas outras seções.

• Introdução à LAPS do Windows para o Windows Server Active Directory
• Introdução ao Windows LAPS para Microsoft Entra ID